Funções e autorizações do IAM para fazer cópias de segurança, montar e restaurar instâncias do Compute Engine

Esta página lista as autorizações e as funções do IAM necessárias para fazer uma cópia de segurança, montar e restaurar uma instância do Compute Engine.

Funções e autorizações do IAM

Para fazer uma cópia de segurança, montar e restaurar uma instância, tem de atribuir a função Backup and DR Compute Engine Operatorà conta de serviço do dispositivo de cópia de segurança/recuperação ou criar uma função personalizada e atribuir todas as autorizações indicadas nesta página.

A lista seguinte apresenta as autorizações predefinidas da IAM do Compute Engine necessárias para fazer uma cópia de segurança, montar e restaurar instâncias do Compute Engine.

• Faça uma cópia de segurança da instância do Compute Engine

  • compute.disks.createSnapshot
  • compute.disks.get
  • compute.instances.list
  • compute.instances.setLabels
  • compute.regions.get
  • compute.regionOperations.get
  • compute.snapshots.create
  • compute.snapshots.delete
  • compute.snapshots.get
  • compute.snapshots.setLabels
  • compute.snapshots.useReadOnly
  • compute.zones.list
  • compute.zoneOperations.get
  • iam.serviceAccounts.actAs
  • iam.serviceAccounts.get
  • iam.serviceAccounts.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

• Montagem na instância do Compute Engine existente

  • compute.disks.create
  • compute.disks.delete
  • compute.disks.get
  • compute.disks.use
  • compute.diskTypes.get
  • compute.diskTypes.list
  • compute.images.create
  • compute.images.delete
  • compute.images.get
  • compute.images.useReadOnly
  • compute.instances.attachDisk
  • compute.instances.create
  • compute.instances.delete
  • compute.instances.detachDisk
  • compute.instances.get
  • compute.instances.list
  • compute.instances.setMetadata
  • compute.regions.get
  • compute.regions.list
  • compute.regionOperations.get
  • compute.zones.list
  • iam.serviceAccounts.actAs
  • iam.serviceAccounts.get
  • iam.serviceAccounts.list
  • resourcemanager.projects.get

• Montar na nova instância do Compute Engine e restaurar a instância

  • compute.addresses.list
  • compute.diskTypes.get
  • compute.diskTypes.list
  • compute.disks.create
  • compute.disks.createSnapshot
  • compute.disks.delete
  • compute.disks.get
  • compute.disks.setLabels
  • compute.disks.use
  • compute.firewalls.list
  • compute.globalOperations.get
  • compute.images.create
  • compute.images.delete
  • compute.images.get
  • compute.images.useReadOnly
  • compute.instances.attachDisk
  • compute.instances.create
  • compute.instances.delete
  • compute.instances.detachDisk
  • compute.instances.get
  • compute.instances.list
  • compute.instances.setLabels
  • compute.instances.setMetadata
  • compute.instances.setServiceAccount
  • compute.instances.setTags
  • compute.instances.start
  • compute.instances.stop
  • compute.machineTypes.get
  • compute.machineTypes.list
  • compute.networks.list
  • compute.nodeGroups.list
  • compute.nodeGroups.get
  • compute.nodeTemplates.get
  • compute.projects.get
  • compute.regions.get
  • compute.regionOperations.get
  • compute.snapshots.create
  • compute.snapshots.get
  • compute.snapshots.setLabels
  • compute.snapshots.useReadOnly
  • compute.subnetworks.list
  • compute.subnetworks.use
  • compute.subnetworks.useExternalIp
  • compute.zoneOperations.get
  • compute.zones.list
  • iam.serviceAccounts.actAs
  • iam.serviceAccounts.get
  • iam.serviceAccounts.list
  • resourcemanager.projects.get

Autorizações para montar a instância do Compute Engine com chaves de encriptação geridas pelo cliente

Para montar uma imagem de cópia de segurança do Compute Engine como uma instância do Compute Engine existente ou nova, em que o disco de origem está a usar chaves de encriptação geridas pelo cliente (CMEK), tem de copiar o nome da conta de serviço do agente de serviço do Compute Engine do projeto de destino, adicioná-lo ao projeto de origem e atribuir a função CryptoKey Encrypter/Decrypter detalhada da seguinte forma.

Siga as instruções abaixo para adicionar autorizações quando usar as CMEK:

1. No menu pendente Projeto, selecione o projeto de destino.
2. No menu de navegação do lado esquerdo, aceda a IAM e administrador > IAM
3. Selecione Incluir concessões de funções fornecidas pela Google.
4. Encontre a conta de serviço do agente de serviço do Compute Engine e copie o ID do principal. Este está num formato de endereço de email, como my-service-account@my-project.iam.gserviceaccount.com.
5. Selecione o projeto de origem no menu pendente Projeto onde a chave foi criada.
6. No menu de navegação do lado esquerdo, aceda a IAM e administrador > IAM.
7. Selecione Conceder acesso.
8. Em Adicionar membros, cole o ID do agente de serviço do Compute Engine do projeto de destino.
9. Em Atribuir funções, atribua a função Cloud KMS CryptoKey Encrypter/Decrypter.
10. Selecione Guardar.

O guia do Compute Engine do Backup and DR

• Verifique as credenciais da nuvem
• Descubra e proteja instâncias do Compute Engine
• Monte imagens de cópia de segurança de instâncias do Compute Engine
• Restaure uma instância do Compute Engine
• Importe imagens de instantâneos do Persistent Disk